Bilgisayar korsanları, sadece üç ay içinde 17.000'den fazla sistemi algılamak ve enfekte etmek için yaygın olarak kullanılan Godot Game Engine'ın yeteneklerinden yararlanan yeni Godloader kötü amaçlı yazılımları kullandılar.
Saldırıları araştırırken kontrol noktası araştırması olduğu gibi, tehdit aktörleri bu kötü amaçlı yazılım yükleyicisini Windows, MacOS, Linux, Android ve iOS dahil olmak üzere tüm önemli platformlarda hedeflemek için kullanabilirler.
Ayrıca, Godot'un esnekliğini ve GDScript komut dosyası dili özelliklerini, zararlı komut dosyalarını yerleştirecek şekilde paket oyun varlıklarını kullanarak Game Engine .PCK dosyalarını kullanarak rasgele kod yürütmek ve atlama sistemlerini atlamak için kullanılır.
Yüklendikten sonra, kötü niyetli olarak hazırlanmış dosyalar, kurbanların cihazlarında kötü amaçlı kodu tetikler, bu da saldırganların kimlik bilgilerini çalmasını veya XMRIG Crypto Madenci de dahil olmak üzere ek yükler indirmesini sağlar. Bu madenci kötü amaçlı yazılım yapılandırması, kampanya boyunca 206.913 kez ziyaret edilen Mayıs ayında yüklenen özel bir Pastebin dosyasında barındırıldı.
"En az 29 Haziran 2024'ten bu yana, siber suçlular, kötü niyetli komutları tetikleyen ve kötü amaçlı yazılım sağlayan hazırlanmış GDScript kodunu yürütmek için Godot motorundan yararlanıyor. Bu teknik, virustotal üzerindeki çoğu antivirüs aracı tarafından tespit edilmedi, muhtemelen 17.000'den fazla makineyi enfekte etti. Birkaç ay, "Check Point'e göre.
"Godot, açık kaynaklı doğasına ve güçlü yeteneklerine değer veren canlı ve büyüyen bir geliştirici topluluğuna sahiptir. 2.700'den fazla geliştirici Godot oyun motoruna katkıda bulunurken," Discord, YouTube ve diğer sosyal medya platformları gibi platformlarda " En son haberlerde güncel kalan yaklaşık 80.000 takipçisi var. "
Saldırganlar, Godloader kötü amaçlı yazılımlarını, görünüşte meşru Github depolarını kullanarak faaliyetlerini maskeleyen bir hizmet olarak kötü amaçlı yazılım dağıtım (DAAS) olan Stargazers Ghost Network aracılığıyla teslim etti.
Eylül ve Ekim 2024 arasında, kötü amaçlı yazılımları hedeflerin sistemlerine dağıtmak, potansiyel kurbanların açık kaynaklı platformlara olan güvenini ve görünüşte meşru yazılım depolarına güvenmek için 225'in üzerinde Stargazer Hayalet Hesabı tarafından kontrol edilen 200'den fazla depo kullandılar.
Kampanya boyunca Check Point, 12 Eylül ve 3 Ekim tarihleri arasında geliştiricilere ve oyunculara karşı dört ayrı saldırı dalgası tespit etti ve bulaşmış araçları ve oyunları indirmeye çalıştı.
Güvenlik araştırmacıları yalnızca Windows sistemlerini hedefleyen Godloader örneklerini keşfederken, GDScript'in kötü amaçlı yazılımların Linux ve MacOS sistemlerine saldırıya ne kadar kolay uyarlanabileceğini gösteren kavram kanıtı kullanma kodu geliştirdiler.
Bu saldırılarda kullanılan Stargazers Hayalet Ağı Daas platformunun arkasındaki tehdit oyuncusu Stargazer Goblin, ilk olarak Haziran 2023'te bu kötü amaçlı yazılım dağıtım hizmetini destekleyen Check Point ile gözlemlendi. Ancak, muhtemelen en azından Ağustos 2022'den beri aktif olmuştur. Bu hizmet piyasaya sürüldüğünden beri 100.000 doların üzerinde para kazanıyor.
The Stargazers Ghost Network, kötü amaçlı yazılım (esas olarak Redline, Lumma Stealer, Rhadamanthys, Risepro ve Atlantida Stealer gibi bilgi samançıları) ve Star, Forkk ve GitHub'ın trend bölümüne itmek ve görünür meşruiyetlerini artırmak için bu kötü niyetli depolara abone olun.
GÜNCELLEME 27 Kasım 18:19 EST: Godot Motor Bakımcısı ve Güvenlik Ekibi Üyesi Rémi Verschelde yayın saatinden sonra aşağıdaki ifadeyi gönderdi.
Kontrol noktası araştırma raporunun belirttiği gibi, güvenlik açığı Godot'a özgü değildir. Godot Engine, komut dosyası diline sahip bir programlama sistemidir. Örneğin Python ve Ruby Runtimes'e benzer. Herhangi bir programlama diline kötü amaçlı programlar yazmak mümkündür. Godot'un özellikle bu tür diğer programlardan daha az ya da daha az uygun olduğuna inanmıyoruz.
Yalnızca sistemlerine yüklü bir Godot oyunu veya editörü olan kullanıcılar özellikle risk altında değildir. İnsanları yalnızca güvenilir kaynaklardan yazılım yürütmeye teşvik ediyoruz.
Daha fazla teknik detay için:
Godot, ".pck" dosyaları için bir dosya işleyicisi kaydetmez. Bu, kötü niyetli bir aktörün Godot çalışma zamanını her zaman bir .pck dosyasıyla birlikte göndermesi gerektiği anlamına gelir. Kullanıcı her zaman .pck ile birlikte çalışma zamanını aynı konuma açmalı ve ardından çalışma zamanını yürütmelidir. Kötü niyetli bir aktörün, diğer işletim sistemi seviyesi güvenlik açıklarını engelleyerek bir "tek tıklama istismarı" oluşturmasının bir yolu yoktur. Böyle bir işletim sistemi seviyesi güvenlik açığı kullanıldıysa, Godot çalışma zamanının boyutu nedeniyle özellikle çekici bir seçenek olmaz.
Bu, Python veya Ruby'de kötü amaçlı yazılım yazmaya benzer olan kötü amaçlı aktör, kötü amaçlı programlarıyla birlikte bir python.exe veya ruby.exe göndermek zorunda kalacak.
Bilgisayar korsanları, savunmaları devre dışı bırakmak için avast karşıtı anti-rootkit sürücüsünü kötüye kullanıyor
Kimlik avı e -postaları, kaçınma tespitinden kaçınan SVG eklerini kullanıyor
Botnet Mirai Kötü Yazılımları Yüklemek İçin Geovision Sıfır Gününden Serbest Yazılıyor
Yeni Glove Infostealer kötü amaçlı yazılım, Chrome’un çerez şifrelemesini atlar
Kuzey Koreli bilgisayar korsanları macOS güvenliğini atlamak için çırpınan uygulamalar oluşturur
Kaynak: Bleeping Computer